Alors que certains digèrent leurs œufs de Pâques, ce week-end on a pu voir fleurir sur Twitter de nombreux messages en anglais vantant un régime. Une vague de prise de conscience générale ? Non, un piratage de nombreux comptes semble avoir eu lieu.
Le faux site et l'avertissement de Bitly
Depuis quelques jours, on voit de nombreux comptes Twitter afficher un message en anglais mettant en avant les bienfaits d'un régime : « I am down 15 pounds in 3weeks!!! ». Celui-ci était accompagné d'un lien raccourci par Bitly, qui mène désormais sur un avertissement du service expliquant que ce n'est ni plus ni moins qu'une arnaque. En effet, le site en question reproduisait le site « Women's Health » avec une URL similaire, mais dont le domaine n'avait rien à voir :
http://www.womenshealth.com-apr20.us/
Faux contenu, vidéo de propagande commerciale autour du Garcinia Cambogia, faux commentaires Facebook, tout y est. Mais le plus problématique cette fois n'est pas tant la page elle-même que la manière dont elle est diffusée. Si l'on avait déjà vu Twitter envahi par une vague de spam, ou certains comptes se faire pirater de temps à autre et envoyer des messages privés étranges, là, il semble question d'un opération de masse.
De nombreux cas constatés de manière simultanée
En effet, bien que la majorité des personnes touchées aient déjà fait le ménage, on retrouve encore de nombreuses traces, et des cas de comptes plus ou moins importants tels qu'Edelman UK, Midas Espagne, la Force Aérienne de la République Dominicaine, le Social Media Club de Seattle, etc. Plus proche de nous, nous avons pu constater que Damien avait été touché, mais aussi Jean-François Hernandez, responsable de la communication de l'ARCEP. Certains nous ont aussi indiqué avoir relevé de nombreux cas qui tend à confirmer qu'il s'agit là d'un piratage de grande ampleur.
Représentant de l'ARCEP ou pas : tous égaux devant le piratage
Doit-on y voir l'un des premiers effets de bords de Heartbleed ? Impossible de le dire. Pour le moment, on peut seulement relever que les publications sont effectuées avec « Twitter for iPhone », l'hypothèse d'une application tierce ayant été piratée peut donc être exclue. Ce point sera néanmoins important à suivre, et si vous avez été concerné par ce problème, nous ne pouvons que vous conseiller de mettre à jour vos mots de passe sur l'ensemble de vos comptes sensibles pour éviter d'autres problèmes.
Si seulement la sécurité était autant une préoccupation pour Twitter que la publicité
Nous avions déjà largement critiqué la capacité de Twitter à assurer la sécurité des comptes, notamment ceux des sociétés qui doivent se contenter d'un mot de passe commun plutôt que d''un système de gestion par administrateurs/utilisateurs comme sur Facebook ou Google+, la société préférant se focaliser sur ses nouveaux formats publicitaires et la refonte des profils.
Le meilleur exemple est celui de l'authentification en deux étapes (2FA). Proposée depuis quelques mois, ce système qui ne serait pas suffisant dans certains cas, est toujours totalement indisponible en France. Il faut en effet lier un numéro de téléphone à votre compte, et cela est impossible avec les opérateurs français. Dans le même temps, la concurrence propose cela de manière effective, mais pas seulement. On retrouve aussi de nombreuses autres options dédiées à la sécurité comme la reconnaissance d'un appareil, la gestion de session un système, etc.
Huit mois plus tard, Twitter ne propose toujours pas la 2FA en France
Twitter étant désormais un acteur incontournable dans le secteur des réseaux sociaux, qui est utilisé par de nombreuses marques et un public toujours plus grand, notamment chez les néophytes, il serait donc grand temps qu'il se mette sérieusement à se pencher sur la question de la sécurité, plutôt que de continuer à l'ignorer et laisser arriver des soucis de ce genre sans y apporter de réponse.
